Google Scorecards

Продукт
Разработчики: Google
Дата премьеры системы: июнь 2021 г
Отрасли: Информационные технологии
Технологии: Средства разработки приложений

2021: Анонс бесплатного инструмента для проверки открытого ПО на дыры и устаревший код

В начале июля 2021 года Google выпустила бесплатный инструмент Scorecards для проверки открытого ПО на дыры и устаревший код. Он проверяет код на основе оценочных листов библиотеки OpenSSF и выдает «оценку риска» для программ с открытым исходным кодом.

Лишь некоторые организации включают системы для проверки открытого исходного кода на наличие проблем безопасности, но даже при наличии достаточных ресурсов это превращается в утомительный и подверженный ошибкам процесс. Проект Scorecards v2, включающий новые проверки безопасности и упрощение доступа к данным для анализа, должен улучшить проверку безопасности. Для разработчиков такая система неоценима: они смогут автоматически оценивать риски, чтобы принимать обоснованные решения о включении кода, поиске альтернативных решений или внесении улучшений.

Google представила бесплатный инструмент Scorecards для проверки открытого ПО на дыры и устаревший код

В новую версию добавлено несколько новых проверок и выявление злонамеренных участников, которые могут вводить в код потенциальные лазейки. С помощью новой проверки Branch-Protection разработчики могут убедиться, что проект был проверен другим разработчиком перед включением в библиотеку кода. Пока эту проверку может выполнить только администратор репозитория из-за ограничений API GitHub.

Но даже если разработчики и партнеры приложили все усилия для организации безопасного пространства, плохой код может попасть в базу и остаться незамеченным. Google отмечает необходимость непрерывного фаззинга и статического тестирования кода, помогающего выявлять ошибки на ранних этапах жизненного цикла разработки. Проект Scorecards проверяет, использовались ли при включении кода в библиотеку инструменты фаззинга и SAST. Система Scorecard также проверяет, что рабочие процессы GitHub следуют принципу минимальных привилегий, делая токены GitHub доступными только для чтения по умолчанию. Это не позволяет злоумышленнику получить доступ к привилегированному токену GitHub, а вместе с ним и возможность отправить вредоносный код в репозиторий без проверки.[1]

Примечания

  1. Google releases new open-source security software program: Scorecards
Источник — «https://www.tadviser.ru/index.php/%D0%9F%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82:Google_Scorecards»

Править
ИНТЕГРАТОРЫ (190) ПРОЕКТЫ (412) СИСТЕМЫ (648) ВЕНДОРЫ (326)

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Солар (ранее Ростелеком-Солар) (44)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15)
  Форсайт (11)
  Бипиум (Bpium) (10)
  Axiom JDK (БеллСофт) ранее Bellsoft (9)
  Другие (373)

  Солар (ранее Ростелеком-Солар) (8)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4)
  Консом групп, Konsom Group (КонсОМ СКС) (2)
  ЛАНИТ - Би Пи Эм (Lanit BPM) (2)
  IFellow (АйФэлл) (2)
  Другие (30)

  Солар (ранее Ростелеком-Солар) (10)
  Форсайт (3)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  Cloud.ru (Облачные технологии) ранее SberCloud (2)
  КРИТ (KRIT) (2)
  Другие (13)

  Солар (ранее Ростелеком-Солар) (6)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (4)
  Unlimited Production (Анлимитед Продакшен) (4)
  РЖД-Технологии (3)
  Форсайт (3)
  Другие (21)

  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1)
  Нота (Холдинг Т1) (1)
  Солар (ранее Ростелеком-Солар) (1)
  Другие (1)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Microsoft (41, 47)
  Солар (ранее Ростелеком-Солар) (2, 46)
  Oracle (49, 26)
  Hyperledger (Open Ledger Project) (1, 23)
  IBM (33, 18)
  Другие (556, 278)

  Солар (ранее Ростелеком-Солар) (1, 8)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4)
  Microsoft (4, 3)
  Oracle (2, 3)
  SAP SE (2, 2)
  Другие (16, 19)

  Солар (ранее Ростелеком-Солар) (1, 11)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3)
  Форсайт (1, 3)
  Cloud.ru (Облачные технологии) ранее SberCloud (1, 2)
  Сбербанк (1, 2)
  Другие (9, 9)

  Unlimited Production (Анлимитед Продакшен) (1, 6)
  Солар (ранее Ростелеком-Солар) (1, 6)
  Мобильные ТелеСистемы (МТС) (1, 4)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4)
  Форсайт (1, 3)
  Другие (10, 18)

  Мобильные ТелеСистемы (МТС) (2, 2)
  T1 Digital (Т1 Диджитал) (1, 1)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 1)
  Т1 (1, 1)
  Солар (ранее Ростелеком-Солар) (1, 1)
  Другие (1, 1)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Solar appScreener (ранее Solar inCode) - 46
  Hyperledger Fabric - 23
  Windows Azure - 20
  FIS Platform - 15
  Форсайт. Мобильная платформа (ранее HyperHive) - 12
  Другие 307

  Solar appScreener (ранее Solar inCode) - 8
  FIS Platform - 4
  Siemens Xcelerator - 2
  Парадокс: MES Builder - 2
  Турбо X - 2
  Другие 22

  Solar appScreener (ранее Solar inCode) - 11
  Форсайт. Мобильная платформа (ранее HyperHive) - 3
  BSS Digital2Go - 3
  Cloud ML Space - 2
  Nexign Microservices Framework - 1
  Другие 8

  Solar appScreener (ранее Solar inCode) - 6
  EXpress Защищенный корпоративный мессенджер - 6
  МТС Exolve - 4
  Форсайт. Мобильная платформа (ранее HyperHive) - 3
  РЖД и Робин: Облачная фабрика программных роботов - 3
  Другие 12

  МТС Exolve - 1
  Т1: Сфера Платформа производства ПО - 1
  Solar appScreener (ранее Solar inCode) - 1
  МТС: Ocean Облачная платформа - 1
  Другие 0
Фармкомпания «Генериум» построила в Москве завод за миллиарды рублей
Во Флориде запретили искусственное мясо
Замгендиректора красноярской «Медтехники» задержали за незаконное премирование
Создан крупнейший в России банк биоматериалов здоровых людей. Он поможет выявлять болезни задолго до симптомов
Решения «ПРОТЕЙ Технологии»: опыт внедрения унифицированных коммуникаций на предприятиях России
Конференция «ИТ в ритейле» состоится 28 мая в рамках Tadviser SummIT
Конференция «Информационная безопасность 2024» состоится 28 мая
Конференция «Импортозамещение в ИТ 2024» состоится 28 мая
Конференция «Цифровизация 4.0» состоится 28 мая
Обзор: российский Modus BI Cloud VS Power BI
Конференция «ИТ в промышленности 2024» состоится 28 мая
Конференция «ИТ в банках 2024» состоится 28 мая
Строительная линейка КОМПАС для проектирования промышленных объектов. Обзор решения
Переход на Axiom JDK Express ускоряет Java приложения до 15%
Толковый путь: как сервис видеосвязи Контур.Толк стал пространством для коммуникаций
Жизнь в эпоху высоконагруженных информационных систем. Основные подходы к разработке
65apps провел импортозамещение B2B-портала в логистическом операторе «РУЛОГ». Детали проекта
Кадровый электронный документооборот на службе государства. Возможности Directum
TAdviser выпустил Карту российского рынка программного обеспечения
Суд приговорил экс-главу Merlion к 22 годам лишения свободы
«Группа Астра» разрослась до двух десятков компаний. Ключевые активы экосистемы
Евгений Титов, «Фитконсалтинг»: Мы идем решать проблемы розничного бизнеса в сегменте СМБ, однозначно понимая их
AUXO: Решение F.A.C.C.T. Attack Surface Management особенно актуально для Enterprise-компаний
Александр Егоркин, Газпромбанк: Если мы немедленно проведем импортозамещение, бизнес-процессы встанут
Рынок заказной разработки ПО в России: особенности, перспективы, крупнейшие участники. Обзор TAdviser
Российский рынок видеоконференцсвязи: оценки, драйверы, крупнейшие участники. Обзор TAdviser
28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT
Российский рынок BI-систем: оценки, перспективы, крупнейшие вендоры и интеграторы. Обзор TAdviser